Äldre VPN - Konfigurera konfigurationstillhandahållande på USG-serien

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Översikt över VPN

Ett VPN (virtuellt privat nätverk) ger säker kommunikation mellan webbplatser utan kostnaden för hyrda linjer. VPN används för att transportera trafik över internet i ett osäkert nätverk som använder TCP/IP-kommunikation. Ett VPN för fjärråtkomst (client-to-site) ger anställda på resande fot eller distansarbetare säker åtkomst till företagets nätverksresurser. Det finns flera typer av VPN-protokoll/tekniker som kan användas för att upprätta en säker länk till företagets nätverk, L2TP, PPTP, SSL, OpenVPN, etc. Denna guide kommer att referera till IPSec-protokollet för att upprätta en säker VPN-tunnel mellan externa värdar (användare som är anslutna till internet utanför företagets nätverksstruktur) och ZyWALL-routern. IPSec-programvara från tredje part krävs för att upprätta VPN-anslutningen eftersom nuvarande operativsystem saknar en inbyggd IPSec-klient.

Scenario

1. VPN-gateway (fas 1)
2. VPN-anslutning (Fas 2)
3. Tillhandahållande av konfiguration
4. ZyWALL VPN-klient
5. Testning och felsökning

VPN-gateway (Fas 1)

Logga in på ZyWALLs webbkonfigurationssida och gå till menyn Konfiguration → VPN → IPSec VPN. I IPSec VPN-menyn klickar du på fliken VPN Gateway för att lägga till fas 1 i tunnelkonfigurationen. Klicka på knappen Lägg till för att infoga en ny regel. Klicka på knappen Visa avancerade inställningar längst upp till vänster i fönstret för att visa alla alternativ i menyn.

  • Markera rutan för att aktivera VPN-regeln och ange ett namn
  • Välj det WAN-gränssnitt som du vill använda för att ansluta VPN under Min adress rullgardinsfältet
  • Se till att Peer Gateway Address är inställd på "Dynamisk adress"
  • Ange/skapa en VPN-autentisering "Pre-Shared Key"
  • Under Fas 1-inställningar, ställ in rullgardinsmenyn Förhandlingsläge för att använda läget "Main"
  • Ställ in "Encryption" och "Authentication" förslag som du vill använda (Krypteringsalternativ är DES, 3DES, AES128, AES192, AES256) (Autentiseringsalternativ är MD5, SHA1, SHA256, SHA512)
  • Välj Diffie-Hellman-nyckelgrupp (alternativen är DH1, DH2, DH5)

    CautionObs: Varningssymbolen till höger visas på områden där inmatning krävs eller ett fel med inmatningen, t.ex. olagliga/icke-stödda tecken.
    Picture1.png

VPN-anslutning (fas 2)

Nu när regeln för VPN-gateway (fas 1) har skapats klickar du på fliken VPN-anslutning för att infoga fas 2-regeln för VPN-tunneln. Klicka på knappen Lägg till för att infoga en regel. Klicka på knappen Visa avancerade inställningar längst upp till vänster i fönstret för att visa alla alternativ i menyn.

  • Markera rutan för att aktivera regeln och ge den ett namn
  • Ställ in VPN Gateway applikationsscenario att använda "Fjärråtkomst (Serverroll)"
  • För applikationsscenariot ställer du in rullgardinsmenyn VPN Gateway så att den använder Fas 1-policyn som skapades i föregående steg. (RoadWarrior för detta exempel)
  • Bläddra ner till alternativet Policy och ange att den lokala policyn ska använda adressobjektet "LAN1_SUBNET". Detta ger VPN-användaren åtkomst till alla enheter som är anslutna till LAN1
  • Aktivt protokoll under Fas 2-inställning ska ställas in på "ESP"
  • Inkapslingen är "Tunnel"
  • Ställ in "Kryptering" och "Autentisering" som du vill använda (Krypteringsalternativ är DES, 3DES, AES128, AES192, AES256) (Autentiseringsalternativ är MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) är en extra krypteringsnivå. Det är onödigt att aktivera den, men om du vill använda den extra krypteringsnivån är alternativen Ingen, DH1, DH2 och/eller DH5.
  • Under Relaterade inställningar, se till att Zonen är inställd på "IPSec_VPN"

    Picture2.png

Nu när Fas 1 och Fas 2 av VPN-regeln har slutförts, avmarkera rutan för att "Använd Policy Route för att kontrollera dynamiska IPSec-regler". Om du avmarkerar det här alternativet kan ZyWALL automatiskt skapa rutter för anslutna VPN-användare.
Picture3.png

Tillhandahållande av konfiguration

Vissa VPN-klienter som "ZyWALL IPSec VPN Client" och "TheGreenBow VPN Client" har ett provisioneringsalternativ som gör att de kan ladda ner de inställningar du har konfigurerat VPN-regeln istället för att behöva konfigurera klienten manuellt. För att konfigurera VPN-tillhandahållandet för RoadWarriors dynamiska VPN-regel skapade vi bara fliken Configuration Provisioning i IPSec VPN-menyn(Konfiguration → VPN → IPSec VPN).

Innan vi sätter upp provisioneringen måste vi skapa ett användarkonto för att tillåta nedladdning av inställningar. Gå till Configuration → Object → User/Group och klicka på knappen Add för att infoga ett konto på "User"-nivå. Administrativa konton kan inte använda nedladdningsalternativet för konfigurationstillhandahållande.
Picture4.png

Nu när användarkontot har skapats går du till Configuration → VPN → IPSec VPN och klickar på fliken Configuration Provisioning för att infoga en regel som tillåter nedladdning av RoadWarrior VPN-inställningar VPN-klient.

  • Aktivera menyn Konfigurationstillhandahållande för VPN
  • Klicka på knappen Lägg till för att skapa en regel som tillåter provisionering avVPN-anslutningen "RoadWarrior_Connection" för "VPN-user" Tillåten användare. Kontrollera att regeln är aktiverad och klicka på Apply för att spara inställningarna.
    Picture5.png

ZyWALL VPN-klient

För att ladda ner VPN-konfigurationsinställningarna som konfigurerats på routern, öppna klientprogramvaran, klicka på menyn Configuration och välj alternativet "Get from Server".
Picture6.png

Ange den offentliga IP-adressen, domännamnet eller DDNS-namnet som är associerat med ZyWALL-routern. Klienten hämtar inställningen via SSL. Som standard är ZyWALL programmerad att använda port 443 för SSL. Om du har ändrat porten, ange den nya SSL-porten. Ange det användarnamn och lösenord som är kopplat till provisioneringskonfigurationen och klicka på Nästa.

Picture7.png
Obs: Detta fungerar endast när fjärrhantering är aktiverad på ZyWALL-routern, om fjärrhantering har inaktiverats kommer konfigurationstillhandahållandefunktionen inte att kunna hämta VPN-konfigurationsinställningarna automatiskt från ZyWALL-routern.

Klienten kommer att skicka begäran om att ladda ner VPN-konfigurationsinställningarna till ZyWALL-routern.
Picture8.png

Nu när konfigurationen har laddats ner kan du upprätta en VPN-tunnel mellan din dator och ZyWALL-routern. Högerklicka på fas 2-delen av konfigurationen och välj "Öppna tunnel" för att starta VPN-dialern.
Picture9.png

För att konfigurera full eller split-tunneling för VPN-trafiken, ta bara en titt här:

VPN full/split-tunneling

Testning och felsökning

Försök att upprätta en VPN-anslutning till routern. När anslutningen har upprättats kan du försöka pinga eller komma åt resurser från fjärrnätverket.

  1. Om du inte kan få trafik genom VPN-tunneln:
  • Inaktivera brandväggen på fjärrvärden för att se till att den inte blockerar begäran.
  • Försöker du komma åt resurser med hjälp av datorns värdnamn? Använd istället den IP-adress som tilldelats datorn. Att använda datorns värdnamn kräver att NetBIOS broadcast-protokoll används för att lösa upp datorns IP-adress; IPSec-standarden stöder inte broadcast. Eftersom IPSec VPN-standarden inte stöder broadcasts kan vi inte garantera att det fungerar att använda värdnamn istället för IP-adresser. En lösning på denna begränsning i IPSec-standarden skulle vara att använda en WINS-server.
  • Inaktivera ZyWALL-routerns brandvägg.
  • Kontrollera att det inte finns några IP-konflikter. Om ZyWALL-nätverket är konfigurerat att använda nätverket 192.168.1.0/24 och fjärranvändaren också använder samma IP-schema, kommer trafiken inte att dirigeras korrekt genom VPN-tunneln.
  • Kontrollera värdnätverkets gateway, om den lokala routern (inte ZyWALL) inte har VPN-pass-through aktiverat eller nödvändiga portar öppnade, kanske VPN inte fungerar korrekt.
  • Kontakta teknisk support för ytterligare hjälp.
  • VPN-tunneln upprättas/ansluts inte:
  • Se till att din nätverksrouter tillåter IPSec-portarna (UDP:500 och UDP:4500) eller se till att aktivera VPN-pass-through om routern stöder detta alternativ. Det är möjligt att kringgå routern för att se till att den inte orsakar problemet.
  • Se till att din internetleverantör inte blockerar VPN-portar; vissa leverantörer blockerar VPN-portar på sin sida.
  • Kontrollera att datorns brandvägg tillåter kommunikation från VPN-klienten.
  • Uppdatera drivrutinerna för dina NIC-kort (Ethernet och/eller Wi-Fi).
  • Kontrollera VPN-inställningarna på ZyWALL och se till att de matchar programvaruklientens konfiguration.
  • Kontakta teknisk support för ytterligare hjälp.

Video:

+++ Du kan köpa licenser för dina Zyxel VPN-klienter (SSL VPN, IPsec) med omedelbar leverans med 1-klick: Zyxel Webstore +++

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
3 av 7 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.